Liangyueliangyue

**Nome do software vulnerável e versões afetadas** Versões do DataEase anteriores à 1.18.15 Versões do DataEase anteriores à 2.3.0 **Descrição** Existe uma vulnerabilidade de desserialização na fonte de dados DataEase, que pode ser explorada para executar código arbitrário. A localização do código vulnerável é `core/core-backend/src/main/java/io/dataease/datasource/type/Mysql.java`. A lista de restrições de ataques MySQL JDBC pode ser contornada, permitindo que invasores a explorem para execução desserializada ou leitura de arquivos arbitrários. **Recomendações** Para versões anteriores à 1.18.15, atualize para a versão 1.18.15 ou posterior para resolver o problema. Para versões anteriores à 2.3.0, atualize para a versão 2.3.0 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao arquivo `Mysql.java` no diretório `core/core-backend/src/main/java/io/dataease/datasource/type` até que um patch seja aplicado.

**Nome do software vulnerável e versões afetadas** kkFileView versão 4.1.0 **Descrição** A vulnerabilidade permite que invasores forcem o aplicativo a realizar solicitações arbitrárias por meio da injeção de URLs maliciosas no parâmetro `url`. Isso é feito por meio de uma falsificação de solicitação do lado do servidor (SSRF) no componente `cn.keking.web.controller.OnlinePreviewController#getCorsFile`. **Recomendações** Para o kkFileView versão 4.1.0, considere restringir o acesso ao componente `cn.keking.web.controller.OnlinePreviewController#getCorsFile` para minimizar o risco de exploração. Como solução temporária, evite usar o parâmetro `url` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Taocms versão 3.0.2 **Descrição** O problema está relacionado a uma vulnerabilidade de cross-site scripting (XSS). Essa vulnerabilidade foi encontrada no componente Management Column. **Recomendações** Para o Taocms versão 3.0.2, considere desativar o componente Management Column até que uma correção esteja disponível. Restrinja o acesso a esse componente para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** MiniCMS versão 1.11 **Descrição** Foi detectada uma vulnerabilidade de script entre sites (XSS) no MiniCMS através do endpoint da API /mc-admin/page-edit.php. Isso permite a possível execução de scripts maliciosos. **Recomendações** Para o MiniCMS versão 1.11, como solução temporária, considere restringir o acesso ao endpoint /mc-admin/page-edit.php até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Sistema de Gestão Hospitalar versão 4.0 **Descrição** O problema está relacionado a uma vulnerabilidade de injeção de SQL. Ela afeta o endpoint /Hospital-Management-System-master/contact.php por meio dos parâmetros `txtMsg`. **Recomendações** Para o Sistema de Gestão Hospitalar versão 4.0, considere restringir o acesso ao endpoint /Hospital-Management-System-master/contact.php até que uma correção esteja disponível. Como solução temporária, evite usar os parâmetros `txtMsg` no endpoint afetado para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Cuppa CMS versão 1.0 **Descrição** A vulnerabilidade está relacionada à exclusão arbitrária de arquivos por meio da função `unlink()`. **Recomendações** Para o Cuppa CMS versão 1.0, como solução alternativa temporária, considere restringir o uso da função `unlink()` até que uma correção esteja disponível.